icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2023-197 du 20 décembre 2023 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Obtenir un certificat de signature ou de cachet électronique professionnel par voie dématérialisée » exploité par la Direction du Développement Économique présenté par le Ministre d'État.

  • No. Journal 8677
  • Date of publication 12/01/2024
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et les administrés ;

Vu l’Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d’application de la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée, relative aux services de confiance ;

Vu l’Ordonnance Souveraine n° 9.827 du 15 mars 2023 portant création de la Direction du Développement Économique ;

Vu le Référentiel Général de sécurité de la Principauté de Monaco tel qu’annexé à l’arrêté ministériel n° 2020-461 du 6 juillet 2020 portant application de l’article 13 de l’Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d’application de la loi n° 1.383 du 2 août 2011 pour une Principauté Numérique, modifiée, relative aux services de confiance ;

Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2021-114 du 2 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Délivrance des certificats de signature et cachet électroniques destinés aux personnes morales » exploité par la Direction de l’Expansion Économique ;

Vu la demande d’avis déposée par le Ministre d’État, le 22 septembre 2023 concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Obtenir un certificat de signature ou de cachet électronique professionnel par voie dématérialisée » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement 21 novembre 2023, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 décembre 2023 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

La loi n° 1.482 du 17 décembre 2019 a modifié la loi n° 1.383 du 2 août 2011 sur l’économie numérique, qui est devenue la loi pour une Principauté Numérique et qui a introduit, à Monaco, la notion de « service de confiance » qui comprend, en son sein, la signature électronique et le cachet électronique.

Les signatures électroniques y sont définies comme « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » et les cachets électroniques comme « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières ».

Par délibération n° 2021-114 du 2 juin 2021, la Commission de Contrôle des Informations Nominatives a rendu un avis favorable à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Délivrance de certificats de signature et cachet électroniques destinés aux personnes morales ». Ce traitement, exploité par la Direction de l’Expansion Économique, devenue, à l’effet de l’Ordonnance Souveraine n° 9.827 du 15 mars 2023, la Direction du Développement Économique (DDE), lui permet de proposer aux entreprises monégasques des solutions de signature et de cachet électroniques.

Au titre de l’article 3 de l’Ordonnance Souveraine n° 9.827 susvisée, la DDE est notamment chargée « de la délivrance des certificats qualifiés de signature et de cachets électroniques en tant que prestataire de services de confiance au sens de la réglementation monégasque en vigueur en la matière ».

Poursuivant l’objectif de transformation numérique de la Principauté, le responsable de traitement souhaite mettre à la disposition des usagers un téléservice leur permettant de solliciter, par voie dématérialisée, l’obtention d’un certificat de signature ou de cachet électronique.

Ainsi, le présent traitement est soumis à l’avis de la Commission conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Le présent traitement a pour finalité « Obtenir un certificat de signature ou de cachet électronique professionnel par voie dématérialisée ».

Il concerne les agents de l’Administration, le mandataire de certification, les entreprises (personnes morales), le représentant légal de l’entreprise ainsi que le bénéficiaire du certificat.

Le responsable de traitement précise notamment que « toute entreprise souhaitant effectuer une demande d’obtention d’un certificat de signature ou de cachet électronique peut effectuer cette opération après création d’un compte personnel sécurisé ».

Le présent traitement a pour fonctionnalités :

-  saisir des informations concernant le dépôt du dossier d’enregistrement ;

-  saisir des informations concernant l’organisation ;

-  saisir des informations concernant les certificats ;

-  saisir des informations concernant la déclaration sur l’honneur ;

-  importer des pièces justificatives ;

-  compléter les informations manquantes ;

-  enregistrer sa demande en tant que brouillon ;

-  étudier la recevabilité d’une demande et la traiter ;

-  demander à l’usager de rectifier des informations de sa demande ;

-  envoyer un courriel de confirmation d’enregistrement électronique de la demande ;

-  envoyer un courriel de confirmation d’annulation de la demande ;

-  envoyer un courriel de confirmation de désinscription de la démarche en ligne ;

-  exporter un fichier Excel comprenant toutes les demandes et leurs informations anonymisées par les agents ayant les droits nécessaires pour effectuer cette action ;

-  exporter un fichier Excel comprenant toutes les demandes et leurs informations non-anonymisées par les agents ayant les droits nécessaires pour effectuer cette action.

Il est par ailleurs précisé que la création d’un compte usager est effectuée via « MonGuichet.mc », le téléservice récupérant l’adresse email grâce à ce compte.

Enfin, un questionnaire de satisfaction anonyme est mis à la disposition des usagers. Il est précisé que les réponses qui y sont apportées sont traitées anonymement par la Direction des Services Numériques (DSN) dans le cadre des missions qui lui sont dévolues au titre de l’Ordonnance Souveraine n° 7.995 du 12 mars 2020.

La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, par l’existence d’un motif d’intérêt public ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.

S’agissant de la justification en lien avec l’intérêt public, il précise notamment que la DDE est chargée, au titre de l’Ordonnance Souveraine n° 9.827 du 15 mars 2023, de délivrer « des certificats qualifiés de signature et de cachets électroniques en tant que prestataire de services de confiance au sens de la réglementation monégasque en vigueur en la matière ».

Il indique par ailleurs que le consentement des personnes concernées est formalisé par un acte positif clair, matérialisé par le biais d’une case à cocher, laquelle mentionne « j’accepte que mes données personnelles soient traitées dans le cadre du téléservice « Obtenir un certificat de signature ou de cachet électronique professionnel par voie dématérialisée » » ainsi que par l’obligation préalable d’accepter les conditions générales d’utilisation du téléservice, indispensable pour la création du compte sécurisé et l’accès à la démarche en ligne.

Le présent traitement trouve en outre son fondement dans la volonté de l’Administration de faciliter les démarches administratives des administrés, ce qui s’inscrit dans le cadre de l’Ordonnance Souveraine n° 3.413 du 29 août 2011, modifiée.

La Commission relève que la personne concernée dispose de la possibilité d’effectuer sa démarche par un autre moyen que le téléservice et considère que ceci est conforme aux dispositions de l’article 43 de l’Ordonnance Souveraine n° 3.413 susvisée qui dispose que « (…) la création d’un téléservice ne saurait toutefois avoir pour effet de supprimer la possibilité pour l’usager, d’accomplir les démarches, formalités ou paiements qui en sont l’objet par des voies autres qu’électroniques ».

Il est enfin indiqué que la DSN est chargée, au titre de l’Ordonnance Souveraine n° 7.995 portant création de cette Direction, d’assurer le développement de l’administration électronique et de mettre en place des services en ligne à destination des usagers. La réalisation de sondages de satisfaction anonymes s’inscrit également dans le cadre des missions qui lui sont dévolues.

La Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III. Sur les informations nominatives traitées

Les informations nominatives traitées sont :

-  identité :

   • mandataire : civilité, nom et prénom ;

   • bénéficiaire du certificat : civilité, nom et prénom ;

   • représentant légal : titre, nom et prénom ;

   • certificat : titre du porteur du certificat, nom et prénom du porteur du certificat ;

-  adresses et coordonnées :

   • mandataire : courriel, numéro de téléphone professionnel ;

   • bénéficiaire du certificat : courriel, numéro de téléphone professionnel ;

   • organisation : adresse du siège social ;

   • représentant légal : courriel, numéro de téléphone professionnel ;

   • certificat : courriel du porteur du certificat, numéro de téléphone professionnel ;

-  vie professionnelle :

   • organisation : raison sociale, numéro de RCI ;

   • représentant légal : fonction au sein de l’organisation ; le représentant légal est-il l’unique représentant légal de l’organisation ?

-  données d’identification électronique : identifiant technique de l’usager ;

-  informations temporelles : données d’horodatage ;

-  données de connexion : logs de connexion de l’usager, données de messagerie de l’usager ;

-  autres :

   • dossier : vous déposez en qualité de : représentantlégal/bénéficiaire du certificat/mandataire de certification ? ;

   • organisation : ce dossier d’enregistrement concerne-t-il une association, une fédération, une profession libérale (cabinet médical, d’avocats, d’expertise comptable) ? ;

   • représentant légal et bénéficiaire du certificat : questions et réponses secrètes de sécurité ;

   • certificat : type de certificat, support du certificat, clé cryptée : certificate signature request (demande de signature de certificat) ;

-  déclaration sur l’honneur : je certifie avoir pris connaissance que cette démarche est payante et que le règlement devra être effectué au guichet lors du rendez-vous de retrait du ou des certificat(s) par espèces, chèque bancaire ou carte bancaire selon le tarif en vigueur ;

-  pièces justificatives : justificatif d’identité du représentant légal, attestation concernant le bénéficiaire du certificat, justificatif d’identité du mandataire si applicable, mandat de certification si applicable, justificatif d’identité du bénéficiaire, engagement du mandataire si applicable.

La Commission prend acte de ce que les réponses aux questions secrètes de sécurité sont collectées afin de permettre au représentant légal ou au bénéficiaire du certificat de révoquer, par téléphone, les certificats en cas de perte du code de révocation qui lui est remis lors du retrait du certificat concerné. Lesdites réponses permettent en effet à l’agent de la DDE de s’assurer de l’identité du représentant légal.

Par ailleurs, il appert qu’une collecte de justificatifs d’identité est effectuée et notamment de cartes d’identité ou de passeports en cours de validité. À cet égard, la Commission rappelle qu’une telle collecte doit s’opérer conformément à sa recommandation n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Les informations relatives à l’identité, aux adresses et coordonnées, à la vie professionnelle, aux autres informations, à la déclaration sur l’honneur et aux pièces justificatives sont renseignées par l’usager. Il en est de même s’agissant des réponses enregistrées en lien avec les questions de sécurité.

Les données d’identification électronique ont pour origine le système.

Enfin, les informations temporelles et les données de connexion sont issues du module web de la démarche en ligne.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  •     Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général.

À la lecture de la mention d’information figurant dans les conditions générales d’utilisation du téléservice, la Commission constate qu’elle est conforme aux exigences légales.

Elle rappelle néanmoins que les personnels de l’Administration doivent également être informés de leurs droits.

  •   Sur l’exercice du droit d’accès

Le droit d’accès s’exerce par voie postale et par courrier électronique.

La Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.

S’agissant de l’exercice du droit d’accès par voie électronique, elle rappelle en outre qu’une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, la Commission constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée.

V.    Sur les destinataires et les personnes ayant accès au traitement

  •   Sur les personnes ayant accès au traitement

Ont accès au présent traitement :

-  les personnels de la DDE : en lecture, en paramétrage, en traitement et en export ;

-  les personnels de l’Agence Monégasque de Sécurité Numérique (AMSN) : en traitement, en lecture, en export et en paramétrage ;

-  les personnels de la Direction des Services Numérique (DSN) ou tiers intervenant pour son compte : accès en configuration dans le cadre d’un rôle d’assistance à maîtrise d’ouvrage, des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État.

Il appert que les accès délivrés à ces derniers le sont durant une période d’un mois après l’ouverture de la démarche en ligne et, que passé ce délai, les droits leur seront enlevés. Seules quelques personnes auront accès au présent téléservice avec un rôle d’administrateur fonctionnel sans accès aux données de l’usager. Des rôles supplémentaires pourront toutefois être attribués sur demande pour des besoins d’investigation suite au signalement d’un incident.

En outre, il ressort de l’étude du dossier que « l’ensemble des accès dans le cadre du présent traitement et pour les besoins de support ou de maintenance font l’objet d’une traçabilité conformément aux dispositions de la PSSIE » et que « pour l’analyse des anomalies et les évolutions, la DSN accède au système via des connexions nominatives à un bastion qui enregistre toutes les actions faites ».

Il ressort également de l’étude du dossier que les personnels de la Direction des Systèmes d’Information (DSI) sont susceptibles d’avoir accès au présent traitement uniquement dans le cadre des missions de maintenance, de développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d’information de l’État uniquement après création d’un ticket pour ouverture des droits.

En ce qui concerne les tiers intervenant pour le compte de la DSN et le cas échéant de la DSI, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, modifiée, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de services. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Elle rappelle enfin que les règles d’accès des administrateurs doivent être conformes à celles décrites dans la délibération n° 2021-171 relative à la « Gestion des accès dédiés au système d’information » afin de permettre la traçabilité et l’imputabilité des actions que ledit traitement assure.

Sous ces réserves, la Commission considère que ces accès sont justifiés.

VI.   Sur les rapprochements et les interconnexions

Le responsable de traitement indique que le présent traitement fait l’objet d’interconnexions avec les traitements, légalement mis en œuvre, ayant pour finalités :

-  « Gestion du compte permettant aux usagers d’entreprendre et suivre des démarches par téléservices » pour permettre aux usagers d’entreprendre et de suivre leurs démarches en ligne via leurs comptes MonGuichet ;

-  « Gérer les habilitations des agents et fonctionnaires de l’État aux téléservices contenus dans le « Guichet Virtuel » » afin de permettre le suivi des demandes des usagers par les personnes autorisées ;

-  « Gestion des habilitations et des accès au Système d’information » afin de disposer des éléments permettant de créer un compte aux utilisateurs ;

-  « Gestion et analyse des évènements du Système d’information » afin de veiller à la traçabilité et à la sécurité des actions effectuées sur le réseau ;

-  « Gestion des accès dédiés au Système d’information du Gouvernement » afin d’assurer la sécurité des accès au système d’information par le prestataire habilité, si nécessaire ainsi que les administrateurs système de la DSN situés à distance du réseau d’administration.

La Commission renvoie à cet égard au point V de la présente délibération.

Le présent traitement est également rapproché des traitements légalement mis en œuvre suivants :

-  « Assistance aux utilisateurs par le Centre de Service de la DSI » afin de permettre à la DDE de gérer les accès aux traitements, de demander la création d’un compte utilisateur, sa suspension ou sa suppression, de faire remonter un incident ou une difficulté afin que celui-ci soit remonté aux personnes habilitées à répondre ou à traiter le sujet et de suivre la prise en compte de leur(s) demande(s) ;

-  « Gestion de la messagerie professionnelle » afin de permettre aux acteurs du traitement de pouvoir échanger, d’afficher et de synchroniser les calendriers, de gérer les contacts si l’utilisateur a paramétré ces options.

Il ressort enfin des précisions apportées par le responsable de traitement l’existence d’un rapprochement avec le traitement légalement mis en œuvre ayant pour finalité « Délivrance de certificats de signature et cachets électroniques destinés aux personnes morales ».

La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Le fichier Excel constitué dans le cadre de ce traitement ne doit en outre être accessible qu’aux seules personnes habilitées.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations sont conservées 3 mois à partir de la délivrance des certificats (clôture des demandes).

L’identifiant technique de l’usager et les données de connexion sont toutefois conservés 1 an et les données d’horodatage 1 an à partir du dépôt de la demande.

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Demande que le fichier Excel constitué dans le cadre de ce traitement ne soit accessible qu’aux seules personnes habilitées.

Rappelle :

-  que la collecte de documents d’identité doit s’opérer conformément à sa recommandation n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels ;

-  que les personnels de l’Administration doivent également être informés de leurs droits ;

-  qu’une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations ;

-  que les règles d’accès des administrateurs doivent être conformes à celles décrites dans la délibération n° 2021‑171 relative à la « Gestion des accès dédiés au système d’information » afin de permettre la traçabilité et l’imputabilité des actions que ledit traitement assure ;

-  que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Obtenir un certificat de signature ou de cachet électronique professionnel par voie dématérialisée ».

Le Président de la Commission de

Contrôle des Informations

Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14